大家好，

很高興與大家分享今日的消息！我們剛剛推出使用標準型 FIDO2 相容裝置安全地登入 Microsoft 帳戶的功能 – 無需使用者名稱或密碼！FIDO2 讓使用者能夠利用標準型裝置輕鬆地驗證線上服務 – 適用於行動裝置和桌上型電腦環境。這項功能現在於美國推出，在接下來幾週將於全球推出。

這項結合易用性、安全性，並提供廣泛產業支援的功能，將同時為住家和現代化工作場所帶來轉型。每個月有超過 8 億人為了工作和玩樂，使用 Microsoft 帳戶隨時隨地在 Outlook、Office、OneDrive、Bing、Skype 和 Xbox Live 中建立、連線和分享資訊。現在，他們全都能受益於這樣簡單的使用者體驗和大幅提升的安全性。

從今天起，您可以使用 FIDO2 裝置或是 Windows Hello，透過 Microsoft Edge 瀏覽器登入您的 Microsoft 帳戶。

請觀看這個說明運作方式的快速影片：

Microsoft 一直致力於消除密碼並協助人員保護資料和帳戶免於威脅。身為線上快速身分識別 (FIDO) 聯盟和全球資訊網協會 (W3C) 的成員，我們一直與其他成員合作，為下一代的驗證開發開放標準。很高興分享這項消息，Microsoft 是《Fortune》雜誌 500 大公司中第一個支援使用 WebAuthn 和 FIDO2 規格進行無密碼驗證的公司，而且相較於其他主要的瀏覽器，Microsoft Edge 支援的驗證器最為廣泛。

如果您想要深入了解該功能的運作方式以及如何開始使用的更多詳細資料，請繼續閱讀。

開始使用

若要透過 FIDO2 安全性金鑰使用您的 Microsoft 帳戶登入：

1. 如果您尚未進行，請確認您的 Windows 10 已完成 2018 年 10 月的更新。
2. 在 Microsoft Edge 移至 Microsoft 帳戶頁面，像往常一樣登入。
3. 選取 [安全性] > [更多安全性選項]，您會在 [Windows Hello 和安全性金鑰] 底下看到如何設定安全性金鑰的指示(您可以透過我們其中一個合作夥伴購買安全性金鑰，這些合作夥伴包括 Yubico 和支援 FIDO2 標準的 Feitian Technologies*)。
4. 您下次登入時，就可以按一下 [更多選項] > [使用安全性金鑰]，或是輸入您的使用者名稱。此時，系統會要求您使用安全性金鑰進行登入。

在此提醒，這裡是如何透過 Windows Hello 使用您的 Microsoft 帳戶登入：

1. 請確認您的 Windows 10 已完成 2018 年 10 月的更新。
2. 如果您尚未進行，您需要安裝 Windows Hello。如果您已安裝 Windows Hello，就準備就緒了！
3. 您下次在 Microsoft Edge 登入時，可以按一下 [更多選項] > [使用 Windows Hello 或安全性金鑰]，或是輸入您的使用者名稱。此時，系統會要求您使用 Windows Hello 或安全性金鑰進行登入。

如果您需要更多協助，請查看我們關於如何安裝的詳細說明文章。

*我們認為在 FIDO2 規格中有幾項選用功能是安全性的基礎，因此只有實作這些功能的金鑰才能運作。閱讀什麼是與 Microsoft 相容的安全性金鑰？以深入了解。

如何運作？

我們不著痕跡地在服務當中實作了 WebAuthn 和 FIDO2 CTAP2 規格，讓這項功能得以實現。

不同於密碼，FIDO2 使用公開/私密金鑰加密來保護使用者的認證。當您建立和註冊 FIDO2 認證時，裝置 (您的電腦或 FIDO2 裝置) 會在該裝置上產生私密和公開金鑰。私密金鑰已安全儲存於裝置上，只有經本機手勢 (例如生物特徵辨識或 PIN 碼) 解鎖後才能使用。請注意，您的生物特徵辨識或 PIN 碼永遠不會離開裝置。在私密金鑰進行儲存的同時，系統會將公開金鑰傳送至雲端的 Microsoft 帳戶系統，並用您的使用者帳戶註冊。

您稍後登入時，Microsoft 帳戶系統會為您的電腦或 FIDO2 裝置提供一個隨機值。接著，您的電腦或裝置會使用私密金鑰來簽署該隨機值。已簽署的隨機值和中繼資料會回傳至 Microsoft 帳戶系統，並使用公開金鑰進行確認。由 WebAuthn 和 FIDO2 規格指定的已簽署中繼資料會提供資訊 (例如使用者是否在線上)，並透過本機手勢確認驗證。正是這些屬性讓使用 Windows Hello 和 FIDO2 裝置的驗證過程不易「引來網路釣魚攻擊」或容易遭惡意程式碼竊取。

Windows Hello 和 FIDO2 裝置如何實作此功能？根據 Windows 10 裝置的功能，您將會擁有稱為硬體信賴平台模組 (TPM) 或是軟體 TPM 的內建安全保護區。TPM 可儲存私密金鑰，需要透過臉部、指紋或 PIN 碼來解鎖。同樣地，FIDO2 裝置就像安全性金鑰，是一個具有其專屬內建安全保護區的小型外部裝置，可儲存私密金鑰並需要生物特徵辨識或 PIN 碼來解鎖。兩個選項皆提供單一步驟即可完成的雙因素驗證，需要透過已註冊的裝置和生物特徵辨識或 PIN 碼才能順利登入。

請查看這篇身分識別標準部落格上的文章，其中會說明有關實作的所有技術詳細資料。

後續消息

我們致力於減少甚至消除密碼使用需求之際，還會推出許多更棒的功能。我們目前針對 Azure Active Directory 中的公司和學校帳戶，透過使用安全性金鑰的瀏覽器，建置相同的登入體驗。企業客戶將能於明年初預覽此功能，讓他們的員工得以針對其帳戶設定專屬的安全性金鑰來登入 Windows 10 和雲端。

此外，隨著開始支援 WebAuthn 和 FIDO2 標準的瀏覽器和平台越來越多，無密碼體驗 (現在可在 Microsoft Edge 和 Windows 上使用) 可望隨時隨地都能使用！

請密切關注明年初發布的更多詳細資料！

謝謝您，
Alex Simons (@Twitter：@Alex_A_Simons)
計劃管理企業副總裁
Microsoft 身分識別部門

The post 使用安全性金鑰或 Windows Hello 以無密碼方式安全地登入您的 Microsoft 帳戶 appeared first on Microsoft 365 Blog.

Microsoft 身分識別部門的人每天都專心致力於協助您提升員工、合作夥伴和客戶的生產力，並讓您更輕鬆且安全地管理對企業資源的存取權。

所以，我們很高興得知 Microsoft 最近在 2018 年 Gartner Peer Insights 對全球存取權管理的評比獲得 Customers’ Choice 的殊榮。

Gartner 在公告中解釋：「Gartner Peer Insights Customers’ Choice 是獲得驗證之使用者專業人員對該市場中廠商的認可，同時考慮到評論的數目和整體使用者評等。」 為了確保評估的公平性，Gartner 堅持以嚴格的準則來認可客戶滿意度高的廠商。

獲得這項認可非常令人振奮。這確實證明了我們正為客戶帶來正面的影響，而客戶也重視我們今年為 Azure Active Directory (Azure AD) 加入的創新。

若要獲得此認可，廠商必須發佈至少 50 個評論，平均星級總評等為 4.2 或更高。

以下引述客戶為我們撰寫的一些評論：

「Azure AD 正迅速成為我們大多數身分識別與存取權問題的單一解決方案。」
– 交通運輸業的企業安全性架構師。閱讀完整評論。

「Azure Active Directory 正在蓬勃發展，成為一種具高度可用性且無所不在的目錄服務。」
– 服務業的技術長。閱讀完整評論。

「[Microsoft] 一直是我們實作身分識別解決方案的絕佳合作夥伴，滿足了我們多個機構的需求，並提供我們繼續進行 SSO 和整合舊版與新開發之應用程式的藍圖。我們還能為 SaaS 應用程式的驗證與存取設定標準。」
– 政府產業的技術總監。閱讀完整評論。

深入閱讀對於 Microsoft 的評論。

目前在 89 個國家/地區有 90,000 個以上的組織使用 Azure AD Premium，我們每天管理超過 80 億次的驗證。工程小組全年無休為我們的服務提升可靠性、可擴展性和滿意度，因此，獲得 Customers’ Choice 的肯定對我們來說非常激勵人心。很高興看到許多客戶用我們的身分識別服務做一些令人讚嘆的事情。

在此代表開發 Azure AD 的每一個人，我要感謝客戶的認可！我們期待以體驗和信任為建置的基礎，讓我們成為實至名歸的 Customers’ Choice，成為客戶的首選！

Gartner Peer Insights Customers’ Choice 標誌是 Gartner, Inc. 和/或其關係企業的商標和服務標章，經許可使用。著作權所有，並保留一切權利。Gartner Peer Insights Customers’ Choice 級別取決於個別使用者客戶的主觀意見，根據他們自己的經驗、Gartner Peer Insights 上發佈的評論數目，以及市場中特定廠商的整體評等，並不以任何方式代表 Gartner 或其關係企業的觀點。

謝謝您，

Alex Simons (@Twitter：@Alex_A_Simons)
計劃管理企業副總裁
Microsoft 身分識別部門

The post Microsoft 在 2018 年 Gartner Peer Insights 對存取權管理評比獲得 Customers’ Choice 的殊榮 appeared first on Microsoft 365 Blog.

今天有一些好消息要與您們分享！Gartner 連續第二年根據我們在存取權管理市場的願景完整性與執行能力，將 Microsoft 定位在全球「2018 年存取權管理魔力象限」中的領導者象限。在這裡取得免費的報告複本以了解原因。

根據 Gartner 的報告，領導者展現出具有強大執行力的證據，可滿足技術、方法或交付方式相關的預期需求。領導者也展現出存取權管理如何在相關或相鄰的產品方案組合中發揮作用的證據。

在領導者象限的願景方面領先群雄

Microsoft 連續第二年在領導者象限的願景完整性方面，位居領先地位。我們相信，在執行力方面的躍進也說明了執行策略的重要性，該策略可協助現在所處的組織，並為未來的身分識別需求做好準備。

Microsoft 提倡條件式存取原則和身分識別威脅防護，做為世界級身分識別與存取權管理解決方案的重要功能。做為具有 Windows 10、Office 365 和 EMS 之豐富生態系統的一部分，我們努力整合產品的安全性原則，讓您能夠了解並控制完整的使用者體驗。我們今年也採用客戶的深入解析和意見反應來改善體驗，讓您更輕鬆地集中取得所有身分識別。我們致力於為您的員工、合作夥伴和客戶提供創新且全面的身分識別與存取權管理解決方案。

如果沒有客戶和合作夥伴的意見和支持，我們就無法繼續成為這個領域的領導者，感謝您！

謝謝您，

Alex Simons (Twitter：@Alex_A_Simons)

計劃管理總監

Microsoft 身分識別部門

重要注意事項：

此圖由 Gartner, Inc. 發表，僅為大型研究文件的一部分，應以整個文件的內容進行評估。Gartner 文件可根據 Microsoft 的要求提供。

Gartner 不對其研究出版物中所述的任何廠商、產品或服務做背書，也不建議技術使用者只選擇那些評價最高或其他指定的廠商。Gartner 研究出版物包含 Gartner 研究組織的觀點，不應被解釋為事實陳述。Gartner 對這項研究不提供明示或默示的所有擔保，包括適售性之任何擔保或符合特定目的之任何擔保。

The post 願景與執行：Microsoft 再度位居 Gartner 存取權管理魔力象限的領導者 appeared first on Microsoft 365 Blog.

只要您有過密碼，就一定會有人去猜它是什麼。這篇部落格文章中，我們要討論的是一種最近變得極其頻繁的常見攻擊，並告訴您幾種防禦的最佳做法。這種攻擊一般稱為「密碼噴濺」。

在密碼噴濺攻擊中，攻擊者會使用許多不同帳戶與服務中最常見的密碼，去嘗試存取任何他們能找到的密碼保護資產。這些攻擊通常可能橫跨許多不同組織和識別提供者。舉例來說，攻擊者會使用 Mailsniper 這類容易取得的工具組去羅列出數個組織中的所有使用者，然後嘗試用「P@$$w0rd」和「Password1」去登入這些帳戶。為了讓您清楚了解，這種攻擊行為可能像這樣：

這種攻擊模式避開了大多數偵測技術，因為以個別使用者或公司的角度來說，這類攻擊看起來就只像是獨立的登入失敗行為。

但對攻擊者來說，這是一場以量取勝的遊戲：他們知道有某些密碼確實極為常見。即便使用這些最常用密碼的帳戶只佔了總帳戶量的 0.5 到 1.0%，但只要每千個帳戶中能讓攻擊者取得幾次成功，攻擊就已經算是有效了。

他們會使用這些帳戶去取得電子郵件中的資料、搜集連絡人資訊並傳送網路釣魚連結，或是單純拓展密碼噴濺的目標群。攻擊者不在乎自己攻擊的目標到底是誰，只要能獲得可以利用的成功結果就好。

好消息是，Microsoft 已經實作了許多能夠干擾這些攻擊效能的工具，並會推出更多工具。請閱讀下文來了解您可以在現在與未來幾個月中採取哪些動作，以阻止密碼噴濺攻擊。

4 個能輕鬆干擾密碼噴濺攻擊的步驟

步驟 1：使用雲端驗證

在雲端，我們每天會看到數十億次登入 Microsoft 各項系統的活動。我們的安全性偵測演算法能讓我們偵測攻擊，並在攻擊發生的當下便加以阻擋。因為這些即時偵測與防護系統是從雲端驅動，所有只有在您從雲端進行 Azure AD 驗證時能夠使用 (包括 傳遞驗證)。

智慧鎖定

我們會在雲端使用智慧鎖定來區別哪些登入看起來是來自有效使用者，哪些登入則可能是攻擊者。我們能封鎖攻擊者，並讓有效使用者繼續使用帳戶。這能防範使用者受到服務拒絕，並且阻止過於急切的密碼噴濺攻擊。我們已將這項功能應用到任何授權等級的 Azure AD 登入，以及所有的 Microsoft 帳戶登入。

2018 年 3 月起，使用 Active Directory 同盟服務 (ADFS) 的租用戶將能在 Windows Server 2016 的 ADFS 中使用智慧鎖定功能，請留意 Windows Update 以獲得這項功能。

IP 鎖定

IP 鎖定的運作方法是透過分析數十億次登入活動，來評定每組 IP 位址對 Microsoft 各系統存取活動的品質。IP 鎖定能以這項分析找出行為可疑的 IP 位址，並即時封鎖登入。

攻擊模擬

攻擊模擬器現在已提供公開預覽，身為 Office 365 威脅情報一員的它，能讓客戶對其使用者展開模擬攻擊，判斷使用者在攻擊事件中會如何反應，並更新原則以確保已使用適當的安全性工具，保護貴組織不受密碼噴濺攻擊等威脅。

我們建議您盡速執行下列事項：

1. 如果您正在使用雲端驗證，您便已受到保護
2. 如果您使用 ADFS 或其他混合式案例，請參閱 2018 年 3 月的 ADFS 升級來獲得智慧鎖定功能
3. 請使用攻擊模擬器來主動評估您的安全性狀態，並進行調整

步驟 2：使用多重要素驗證

密碼是存取帳戶的鑰匙，但攻擊者就是猜對了密碼，才會讓密碼噴濺攻擊成功。為了阻止這些攻擊者，我們需要使用密碼以外的東西來分辨帳戶擁有者與攻擊者。以下是三種能夠達成此目標的做法。

風險型多重要素驗證

Azure AD Identity Protection 會使用前述登入資料加上進階機器學習與演算法偵測，為進入系統的每一次登入評定風險分數。這能讓企業客戶在 Identity Protection 中建立原則，如果偵測到使用者或該次工作階段有風險，系統就會提示使用者使用第二重要素進行驗證。這能減少使用者的負擔，並阻礙惡意人士。請在此深入了解 Azure Active Directory Identity Protection。

常駐型多重要素驗證

如果需要更高的安全性，您可以使用 Azure MFA 來要求使用者無論是在雲端驗證或 ADFS 中，「每次」都需要進行多重要素驗證。這會需要使用者在每一次登入時都持有他們的裝置，並且更頻繁地進行多重要素驗證，以提供貴企業最高的安全性。您應該對組織中的每位系統管理員啟用此功能。請在此深入了解 Azure Multi-Factor Authentication，以及如何設定 ADFS 的 Azure MFA。

以 Azure MFA 做為主要驗證

在 ADFS 2016 中，您能夠使用 Azure MFA 做為無密碼驗證的主要驗證方式。這項極佳工具能防範密碼噴濺和密碼竊取攻擊：畢竟，如果沒有密碼，也就沒有目標可以猜測了。這適用於擁有不同要素形式的所有類型裝置。此外，您現在只能在使用 Azure MFA 驗證了 OTP 後，才能將密碼當成第二要素。請在此深入了解如何使用密碼做為第二要素。

我們建議您盡速執行下列事項：

1. 我們強烈建議您針對組織中的「所有系統管理員」啟用常駐型多重要素驗證，特別是訂閱擁有者和租用戶系統管理員。真的，請立即執行此動作。
2. 為了讓其餘使用者獲得最佳體驗，我們建議您為他們啟用風險型多重要素驗證，Azure AD Premium P2 授權能夠提供這項功能。
3. 否則，請針對雲端驗證與 ADFS 使用 Azure MFA。
4. 在 ADFS 中，請在 Windows Server 2016 上升級至 ADFS，以便使用 Azure MFA 做為主要驗證方式，特別是針對您所有的外部網路存取。

步驟 3：讓每個人使用更適當的密碼

即使您採取了上述所有動作，密碼噴濺防禦關鍵元素還是讓「所有」使用者擁有難以猜測的密碼。讓使用者了解如何建立難以猜測的密碼常常是件難事。Microsoft 能使用下列工具協助您實現這一目標。

禁用密碼

在 Azure AD 中，每次密碼變更和重設都要受到禁用密碼檢查器檢驗。有人提交新密碼時，系統會將該密碼與一系列字詞清單進行模糊比對，這些字詞是任何人都不應該使用在密碼中的詞彙 (就算以 l33t-sp3@k 等 Leet 拼寫也無法逃避比對)。如果有符合項目，那麼系統會拒絕該組新密碼，並要求使用者選擇更難猜測的密碼。我們打造了這份最常受到攻擊的密碼清單，並時常更新。

自訂禁用密碼

為了讓禁用密碼功能更完善，我們將會允許租用戶自訂禁用密碼清單。系統管理員能選擇其組織常見的字詞，例如有名的員工或創辦人、產品、地點、地區特點等等，以防止使用者在密碼中使用這些詞彙。我們會將這份清單強制新增到全球適用的清單中，讓您不需要在清單之間抉擇。這項功能目前處於有限預覽版狀態，並將在今年推出。

針對內部部署變更的禁用密碼

今年春天，我們推出了能讓企業系統管理員在混合式 Azure AD-Active Directory 環境中禁用密碼的工具。禁用密碼清單會從雲端同步至您的內部部署環境中，並在擁有該代理程式的每個網域控制站上強制執行。無論使用者在雲端或內部部署中變更密碼，這項功能都可以協助系統管理員確保其他人更難猜對其密碼。我們已於 2018 年 2 月推出此功能的有限私人預覽版，並將於今年推行至全球。

改變您對密碼的認知

很多關於良好密碼的常見觀念都是錯誤的。通常，越符合數學邏輯的觀念越容易造成可預測的使用者行為：例如，要求使用特定字符類型和要求週期性變更密碼，都會造成特定的密碼模式。請參閱我們的密碼指導方針白皮書來了解更多詳細資料。如果您搭配 PTA 或 ADFS 使用 Active Directory，請更新您的密碼原則。如果您使用雲端管理帳戶，請考慮將密碼設定為永不到期。

我們建議您盡速執行下列事項：

1. 請在 Microsoft 禁用密碼工具內部部署發行後立即安裝，這能協助您的使用者建立更適當的密碼。
2. 請檢閱您的密碼原則，並考慮將密碼設定為永不到期，這樣您的使用者就不會使用季節性模式來建立密碼。

步驟 4：使用 ADFS 與 Active Directory 中其他強大功能

如果您搭配 ADFS 與 Active Directory 使用混合式驗證，可以採取更多步驟來保護您的環境不受密碼噴濺攻擊。

第一個步驟：如果是運行 ADFS 2.0 或 Windows Server 2012 的組織，請您盡速規劃移轉至 Windows Server 2016 中的 ADFS。這份最新版本能夠更快更新，讓您擁有外部網路鎖定等更豐富的功能。同時也請您記得：從 Windows Server 2012R2 升級到 2016 其實非常簡單。

封鎖來自外部網路的舊版驗證

舊版證通訊協定無法強制執行 MFA，因此最好的方法是封鎖來自外部網路的舊版驗證。此步驟會防止發起密碼噴濺攻擊的人利用這些缺乏 MFA 的通訊協定。

啟用 ADFS Web 應用程式 Proxy 外部網路封鎖功能

如果您尚未啟用 ADFS Web 應用程式 Proxy 的外部網路封鎖功能，您應該盡速啟用此功能，以保護您的使用者免受潛在暴力破解密碼攻擊侵犯。

部署適用於 ADFS 的 Azure AD Connect Health

Azure AD Connect Health 能擷取 ADFS 記錄中使用者名稱/密碼不良要求的 IP 位址，這能讓您獲得一系列案例的額外報告，並在開啟輔助支援案例時，提供更多深入解析來支援工程師。

若要進行部署，請在所有 ADFS 伺服器 (2.6.491.0) 上下載適用於 ADFS 的 Azure AD Connect Health 代理程式。ADFS 伺服器必須執行安裝了 KB 3134222 的Windows Server 2012 R2，或是 Windows Server 2016。

使用非密碼式存取方法

不用密碼，就沒有密碼會受到猜測。下列非密碼式驗證方法可供 ADFS 和 Web 應用程式 Proxy 使用：

1. 憑證式驗證能讓防火牆完全封鎖使用者名稱/密碼端點。深入了解 ADFS 中的憑證式驗證
2. 如前文所述，您可以在雲端驗證、ADFS 2012 R2 與 ADFS 2016 中，把 Azure MFA 當成第二要素使用。但您也可以將它當成 ADFS 2016 中的主要要素，完全阻止任何密碼噴濺的可能性。請在此了解如何設定 Azure MFA 搭配 ADFS
3. Windows 10 提供的 Windows Hello 企業版 (於 Windows Server 2016 內受 ADFS 支援) 能夠依據使用者與裝置使用的強式密碼編譯金鑰，提供包括外部網路在內的完全無密碼存取。已加入 Azure AD 或已加入混合式 Azure AD 的公司管理裝置可以使用此功能，同時，個人裝置也可透過設定 App 的 [新增公司或學校帳戶] 選項來使用此功能。獲得更多關於 Hello 企業版的詳細資訊。

我們建議您盡速執行下列事項：

1. 升級至 ADFS 2016 以更快獲得更新
2. 封鎖來自外部網路的舊版驗證。
3. 在所有 ADFS 伺服器上部署適用於 ADFS 的 Azure AD Connect Health 代理程式。
4. 考慮使用無密碼主要驗證方法，例如 Azure MFA、認證或 Windows Hello 企業版。

額外動作：保護您的 Microsoft 帳戶

如果您是 Microsoft 帳戶使用者：

• 好消息，您已經受到保護了！Microsoft 帳戶也擁有智慧鎖定、IP 鎖定、風險型雙步驟驗證、禁用密碼等多種功能。
• 不過，請您還是花兩分鐘前往 Microsoft 帳戶的安全性頁面並選擇 [更新您的安全性資訊]，以檢閱風險型雙步驟驗證所使用的安全性資訊。
• 請考慮在這裡開啟常駐型雙步驟驗證，讓您的帳戶獲得最高的安全性。

最好的防禦是…遵循本部落格中的建議

對於網際網路上使用密碼的任何服務而言，密碼噴濺都是非常嚴重的威脅，不過，採取本部落格中的步驟能夠提供您最大保護，防禦這類攻擊媒介。同時，因為有多種攻擊都擁有類似的特徵，這些步驟就成了您最好的防禦建議。您的安全永遠都是我們最先考量的首要任務，我們也會持續致力於開發新的進階防護措施，以防範密碼噴濺和其他任何一種攻擊。只要您立即採用上述步驟並時常回頭檢查是否有新工具，就能防禦網際網路上的惡意人士。

我希望您覺得這些資訊對您有所幫助。如同以往，我們非常歡迎您提供任何意見反應或建議。

謝謝您，

Alex Simons (Twitter：@Alex_A_Simons)

計劃管理總監

Microsoft 身分識別部門

The post Azure AD 與 ADFS 最佳做法：防禦密碼噴濺攻擊 appeared first on Microsoft 365 Blog.

我希望您和我一樣也對今天的文章內容感興趣。這有點是讓大腦放鬆，並概述數位身分識別未來令人興奮的願景。

過去 12 個月，我們投資了一系列使用區塊鏈 (與其他分散式總帳技術) 的創意培育計劃，來建立新型數位身分識別，從頭開始設計身分識別，以強化個人隱私權、安全性和控制度。我們對於所學到的經驗以及在過程中形成的新合作夥伴關係感到非常興奮。今天我們要藉此機會與您分享我們的想法和未來走向。這篇部落格文章是系列文章的其中一篇，是接續 Peggy Johnson 的宣布 Microsoft 加入 ID2020 計劃部落格一文。如果您尚未讀過 Peggy 的文章，我建議您先行閱讀。

我邀請了小組中負責領導這些培育計劃的計劃經理 Ankur Patel，開始與我們討論關於分散式數位身分識別。他的文章著重於分享我們學到的一些核心內容，以及我們用來向前推動這類領域投資的一些結果準則。

如同以往，我們非常歡迎您提供想法和意見反應。

謝謝您，

Alex Simons (Twitter：@Alex_A_Simons)

計劃管理總監

Microsoft 身分識別部門

———-

大家好，我是 Microsoft 身分識別部門的 Ankur Patel。很榮幸有這個機會能和您分享所學的一些經驗和未來走向，這些都是我們在培育以區塊鏈/分散式總帳為基礎之分散式身分識別的過程所做的努力。

我們的發現

正如您每天感受的許多體驗，這個世界正在經歷一場全球性數位轉型，數位與實際現實的界線正逐漸模糊成單一整合式的現代生活方式。新的世界需要新的數位身分識別模型，而這個新模型要能同時在實際與數位世界中強化個人的隱私權和安全性。

Microsoft 的雲端身分識別系統已讓數千個開發人員、組織與數十億人能夠工作、玩樂，並達成更多目標。然而，我們還可以做更多努力來賦予每個人能力。我們渴望建立一個世界，讓今日生活在沒有可靠身分識別的數十億個人，最終能夠實現我們大家分享的夢想，例如教育孩子、改善生活品質或創業。

為了達成這項願景，我們相信個人擁有並控制其數位身分識別的所有元素是至關重要的。個人需要的是一個能讓他們能儲存身分識別資料並輕鬆掌控存取權的安全加密數位中心，而不是授與無數 App 和服務各種權限，讓自己的身分識別資料散佈給無數的提供者。

我們每個人都需要專屬的數位身分識別，要能安全且私密地儲存數位身分識別的所有元素。  這個自我專屬的身分識別必須簡單好用，並能讓我們完整掌控自己身分識別資料的存取和使用方式。

我們知道，實現這種自我主權的數位身分識別遠大於任何單一公司或組織。我們致力於與客戶、合作夥伴和社群緊密合作，以充分發揮新一代數位身分識別型的體驗，而且我們很高興能與產業內在此領域有卓越貢獻的許多人士一起合作開發。

我們所學的經驗

為達此目的，我們今天要以我們在分散式身分識別培育計劃所學的經驗為基礎，與您分享我們的寶貴想法，以實現豐富的體驗為目標所做的努力、提升信任度並減少摩擦，同時讓每個人都能擁有並掌控他們的數位身分識別。

1. 擁有並掌控您的身分識別。 現今的使用者授與無數 App 和服務各種權限來收集、使用並保留資料，卻超越能掌控的範圍。隨著資料外洩與身分識別盜用事件越來越複雜且頻繁，使用者需要一種能夠掌握其身分識別的方式。在測試過分散式儲存系統、共識通訊協定、區塊鏈和各種新興標準之後，我們相信區塊鏈技術與通訊協定都適合用來實現分散式身分識別 (DID)。
2. 從頭開始打造著重隱私權的設計。
   現今的 App、服務和組織能提供方便、可預測、量身打造的體驗，全都仰賴控制與身分識別繫結的資料。我們需要一個能與使用者資料互動的安全加密數位中心 (ID Hub)，同時尊重使用者隱私權與控制權。
3. 由個人獲得、由社群建立的信任。
   傳統身分識別系統主要針對驗證與存取管理而開發。自我專屬的身分識別系統加入了對真確性的關注，以及社群建立信任的方式。分散式系統中的信任是以證明為基礎：也就是來自其他實體認可的宣告，這能協助從多方面來證明某人的身分識別。
4. 以使用者為中心建置的 App 與服務。
   現今某些最吸引人的 App 與服務都是藉由獲取使用者的個人識別資訊 (PII)，來提供使用者個人化體驗。DID 和 ID Hub 能讓開發人員獲得更精確的證明集存取權，同時透過處理而非代表使用者進行控制這類資訊的方式，來降低法律與合規性風險。
5. 開放式、互通的基礎。
   為了建立能存取所有資訊的強大分散式身分識別生態系統，它必須以標準且開放原始碼的技術、通訊協定和參考實做為基礎。過去幾年，我們參加了分散式身分識別基金會 (DIF)，該基金會是由擁有同樣的動機而想接受這項挑戰的個人和組織所組成。我們合作開發下列重要元件：
   

• 分散式識別碼 (DID)：這是一種定義常見檔案格式的 W3C 規格，可用來描述分散式識別碼的狀態
  
• 身分識別中心：這是一種提供訊息/意圖轉送、證明處理和特定身分識別計算端點的加密身分識別資料存放區。
  
• 通用 DID 解析程式：跨區塊鏈解析 DID 的伺服器
  
• 可驗證的認證：這是一種定義文件格式的 W3C 規格，可用來編碼 DID 型證明。
  

6. 為全球規模做好準備：
   為了支援眾多的全球使用者、組織和裝置，基礎技術必須具有與傳統系統相當的規模與效能。部分公開區塊鏈 (舉例而言，比特幣 [BTC]、Ethereum、萊特幣等) 為根 DID (Rooting DID)、記錄 DPKI 作業和錨定證明提供了扎實的基礎。雖然部分區塊鏈社群提升了鏈上交易功能 (例如增加區塊大小)，但這種方法通常會降低網路的分散式狀態，且無法達到系統在全球規模範圍內會產生的每秒數百萬次交易量。為了克服這些技術障礙，我們正針對在這些公開區塊鏈上執行的分散式第 2 層通訊協定進行共同作業，以達成全球規模，同時保留世界級 DID 系統的屬性。
   
7. 所有人都能存取：
   現今的區塊鏈生態系統大多仍是願意花時間、心力並有熱忱來管理金鑰並保護裝置的早期採用者。這並不是我們期待主流人員去處理的工作。我們需要以直覺且萬無一失的方式克服關鍵的管理挑戰，例如復原、變換和安全存取。
   

我們的後續步驟

新的系統和大膽的創意在白板上通常都很合理。所有線索都能夠彼此連結，而且假設似乎也很實在。不過，產品和工程小組在推出的過程中學到的最多。

現在，每天都有數百萬人使用 Microsoft Authenticator App 來證明其身分識別。我們的下一步將是透過在 Microsoft Authenticator 上加入支援分散式身分識別來進行試驗。經過您的同意，Microsoft Authenticator 能夠做為您的使用者代理程式，來管理身分識別資料與密碼編譯金鑰。在這個設計中，只有身分識別會在鏈上進行根處理。系統會使用這些密碼編譯金鑰將身分識別資料儲存在經過加密的鏈外 ID Hub (Microsoft 看不到) 中。

在我們新增這項功能後，App 與服務將能藉由要求精確同意來使用常見的傳訊管道，進而與使用者資料互動。我們在初期將支援一組所選的跨區塊鏈的 DID 實作，我們在未來可能會加入更多支援。

未來展望

我們對於能接受如此巨大的挑戰感到謙虛和興奮，同時也了解這並不是能單獨達成的目標。我們持續倚賴聯盟合作夥伴和分散式身分識別基金會的成員，以及 Microsoft 生態系統中各種設計師、原則制定者、商務合作夥伴、軟硬體製造商的支援和投入的心力。最重要的是我們需要您，需要我們的客戶在我們開始測試第一組案例時提供意見反應。

這是關於我們對分散式身分識別投注心力的第一篇文章。在後續文章中，我們將分享相關的概念證明資訊，以及上述關鍵領域的技術詳細資料。

我們期待您加入我們的冒險行列！

重要資源：

• 前往 Twitter 的 @AzureAD 關注我們
  
• 參與分散式身分識別基金會 (DIF)
  
• 加入 W3C Credentials Community Group
  

謝謝您，

Ankur Patel (@_AnkurPatel)

首席計劃經理

Microsoft 身分識別部門

The post 分散式數位身分識別與區塊鏈：我們看到的未來 appeared first on Microsoft 365 Blog.

Azure AD 條件式存取 (CA) 相當受歡迎。世界各地的組織都用它來確保安全且符合法規地存取應用程式。條件式存取現在每個月用於保護超過 10000 個組織和超過 1000 萬名作用中使用者！我們的客戶這麼快就讓它發揮作用，真是令人驚訝！

我們收到了很多意見反應，是關於條件式存取對使用者的影響。具體而言，您掌握了這麼大的權力，必須了解 CA 原則將如何在各種登入條件下影響使用者。

我們聽到您的心聲，因此今天我很高興宣布條件式存取的「What If」工具已開始公開預覽。在您指定的條件下，「What If」工具可協助您了解原則對使用者登入的影響。您可以直接使用「What If」工具來了解情況，而無需等使用者告知。

開始使用

準備好使用這項工具了嗎？您只要遵循下列步驟即可：

• 移至 Azure AD 條件式存取
• 按一下 [What If]

• 選取要測試的使用者

• 選則性：視需求選取 App、IP 位址、裝置平台、用戶端 App、登入風險
• 按一下 [What If]，並查看將影響使用者登入的原則

有時候，您遇到的問題不是「哪些原則適用」，而是「為什麼某項原則不適用」？ 這項工具也能協助您釐清！切換到 [不會套用的原則] 索引標籤，您可以查看原則名稱，更重要的是，了解原則不適用的原因。很棒吧？

想要深入了解「What If」工具？

請告訴我們您的想法

這僅僅只是個開始。我們正努力在這個領域提供更多創新。如同以往，我們非常歡迎您對此預覽或 Azure AD 條件式存取相關內容提供任何意見反應或建議。我們也建立了簡短的「What If」工具問卷供您參與。

期待收到您的意見！

謝謝您，

Alex Simons (Twitter：@Alex_A_Simons)

計劃管理總監

Microsoft 身分識別部門

The post 公開預覽：Azure AD 條件式存取原則的「What If」工具 appeared first on Microsoft 365 Blog.

如果您關注部落格，就會知道我們支援將內部部署目錄或 IAM 解決方案連結到 Azure AD 的各種選項。事實上，產業中只有我們為客戶提供如此多種的選項。

因此，客戶最常問我的問題之一就是我建議使用哪種選項，這並不足為奇。我總是有點猶豫該怎麼回答。過去 6 年多來在身分識別產業工作的經驗，我了解到每個組織都不盡相同，對部署速度、安全性狀態、投資能力、網路架構、企業文化、合規性要求和工作環境方面，都有不同的目標和要求。這就是為什麼我們致力於為您提供多種選項的原因之一，您可以選擇最符合您需求的選項。(當然，那不表示我沒有個人意見，如果是我的組織，我絕對會想使用全新的傳遞驗證和 Azure AD Connect 同步。  他們可以快速部署，維護成本低。不過，這只是我的個人看法！)

與其花許多時間擔心我或其他人建議了什麼，我們何不直接看看客戶實際使用的是什麼？我覺得這是最棒的開始。

Azure AD 動力

我想先分享一些關於 Azure AD 的整體使用數字，讓您可以了解下方數字更深層的含意。對於 Azure AD 整體而言，我們繼續看到使用我們基本雲端式身分識別服務的組織大幅增加，以及 Azure AD Premium 的加速成長。

我最感到振奮的趨勢是，透過第三方應用程式使用 Azure AD 的數據有驚人的成長。每月有超過 30 萬個第三方應用程式使用 Azure AD，我們看到有許多組織將 Azure AD 視為他們偏好的雲端身分識別平台。

將使用者同步到 Azure AD

大部分的 Azure AD 租用戶都是小型組織，不會將內部部署 AD 同步到 Azure AD。較大型的組織幾乎隨時會同步，而這些組織佔 Azure AD 中 9.5 億個使用者帳戶的 50% 以上。

以下是組織如何將使用者同步到 Azure AD 的最新資料：

• 超過 18 萬個租用戶會將他們的內部部署 Windows Server Active Directory 同步到 Azure AD。
• 超過 17 萬個租用戶會使用 Azure AD Connect 來執行此動作。
• 少數客戶使用其他解決方案：
  • 7% 使用我們舊版的 DirSync 或 Azure AD 同步工具。
  • 1.9% 使用 Microsoft Identity Manager 或 Forefront Identity Manager。
  • 低於 1% 使用自訂或第三方解決方案。

使用 Azure AD 驗證

我上次發表的驗證相關部落格文章，其中分享的資料是根據驗證量。您提供給我的意見反應是，這些數字難以對應上下文，而且您對作用中的使用者數目更感興趣。因此，針對本次更新，我將分享根據每月作用中的使用者 (MAU) 統計的數字。

截至 10 月 31 日為止，Azure AD 的每月作用中的使用者剛超過 1.52 億個。在這些作用中的使用者中：

• 55% 使用同盟產品或服務進行驗證。
• 24% 使用密碼雜湊同步進行驗證。
• 21% 是僅限雲端的使用者。
• Azure AD 傳遞驗證才剛在一個月前公開推出，但已經擁有超過 50 萬個每月作用中的使用者，而且這個數字每月成長 50%！

深入分析，以下是一些更有趣的資料：

• 46% 的作用中使用者使用 AD 同盟服務驗證。
• 只有超過 2% 的作用中使用者使用 Ping Federate 驗證。Ping 是成長最快且最受歡迎的第三方選項。
• 2% 的作用中使用者使用第三方 IDaaS 服務 (例如 Centrify、Okta 或 OneAuth) 驗證。
• 1% 的作用中使用者使用 Ping Federate 以外的第三方同盟伺服器驗證。

重要結論

以下是一些非常有趣的資料，並強調了一些趨勢：

1. Azure AD Connect 已成為在 Windows Server AD 和 Azure AD 之間進行同步的標準方式。超過 90% 的同步租用戶現在都在使用。
2. Azure AD 密碼雜湊同步已成為擁有數千萬個每月作用中使用者之客戶的熱門選項。
3. 隨著越來越大型的企業開始使用 Azure AD，Ping Federate 已成為日益受歡迎的選項。我們與 Ping 的合作確實為這些大型客戶帶來了回報。
4. 儘管有新聞報導和市場炒作，但其他 IDaaS 廠商仍只佔 Azure AD/Office365 業務的一小部分。
5. 我們全新的傳遞驗證選項才剛在一個月前公開推出，目前已有超過 50 萬個 MAU！如果目前趨勢持續，未來半年至一年，使用該服務的不重複使用者會比所有其他 IDaaS 廠商的總合還要多。

總結

與上次相同，這些數字說明了一個非常清楚的事實。我們設計的 Azure AD 是開放式且為標準型，因此客戶可以使用各種第三方選項。不過，多數客戶發現我們的「現成」身分識別解決方案滿足了他們的需求。而且這個數字還繼續成長。

此外，資料還顯示我們透過 Azure AD Connect 提供的簡單程度具有重大影響。該解決方案已受到大量採用，並且是連結 Windows Server AD 和 Azure AD/Office 365 成長速度最快的選項。

希望您會覺得本篇部落格文章有趣又實用！如同以往，我們非常歡迎您提供任何意見反應或建議。

謝謝您，

Alex Simons (Twitter：@Alex_A_Simons)

計劃管理總監

Microsoft 身分識別部門

The post 組織如何將其內部部署身分識別連結到 Azure AD appeared first on Microsoft 365 Blog.

今天我很高興通知您，我們已啟用以 Azure AD B2B 共同作業功能建立的 Microsoft Teams 來賓存取權！

您現在可以啟用 Teams 中的合作夥伴共同作業功能，輕鬆透過 Azure Active Directory 長期提供員工的企業級防護，使用聊天、App 和檔案共用進行互動。

現在，您可以邀請任何組織中擁有 Azure Active Directory 帳戶的任何人，成為 Microsoft Teams 的來賓使用者！

客戶已使用 Azure AD 的 B2B 功能建立超過 8 百萬個來賓使用者，而這僅僅是一個開始。為 Microsoft Teams 新增支援是客戶的首要要求，因此我們很高興開啟此功能以保持動力。我希望您立即試試看！

因此，請立即登入 Teams 並邀請您的合作夥伴與您共同作業。

如同以往，如果您有任何意見反應、討論和建議，請與我們連絡。我們隨時洗耳恭聽！

謝謝您，

Alex Simons (@Twitter：@Alex_A_Simons)

計劃管理總監

Microsoft 身分識別部門

附註：我們正努力在 Teams 中新增額外的 Azure AD 功能，包括針對擁有任何公司或消費者電子郵件帳戶的外部使用者提供支援。期待很快得知更多相關消息！

The post Microsoft Teams 中的 Azure AD B2B 共同作業 appeared first on Microsoft 365 Blog.

今天有一些好消息要與您們分享！Gartner 發布了他們 2017 年的存取權管理魔力象限 (AM MQ)，這顯示了 Microsoft 的願景完整性與執行能力位居領導者象限。

AM MQ 是新的 MQ。此象限是從已中止的 IDaaS MQ 獨立出來，這次是第一次發布。Azure Active Directory 是在報告中評估的產品。

Gartner 2017 年存取權管理魔力象限

我們與 Gartner 合作提供免費的報告副本，您可以在這裡存取

我們的看法是，Microsoft 優異的位置驗證了我們的願景是以 Microsoft Intelligent Security Graph 為基礎來提供世界級身分識別保護的支援，為員工、合作夥伴與客戶提供完整的身分識別與存取權管理解決方案。

我們相信 Gartner 的分析充分說明了我們對身分識別與存取權管理領域的承諾。更重要的是，Microsoft 相信此分析充分說明了我們合作過的客戶、實作合作夥伴和 ISV 合作夥伴每天分享他們的時間和心力，來確保我們建立的產品和服務符合他們的需求，並引領他們前往由雲端技術所日益推動的世界中成長茁壯。

我們承諾繼續提供創新功能，以滿足您在身分識別與存取權管理領域的需求，並進一步提升我們在 Gartner AM MQ 領導者象限的地位。

謝謝您，

Alex Simons (Twitter：@Alex_A_Simons)

計劃管理總監

Microsoft 身分識別部門

The post Azure AD 位居 Gartner 2017 年存取權管理魔力象限中的領導者象限！ appeared first on Microsoft 365 Blog.